Recupera cartella crittografata EFS dopo aver cancellato la partizione di sistema

Naviga le tue risposte
4

Recentemente abbiamo avuto problemi durante la reinstallazione di un computer desktop del client.

Il disco è stato diviso in due partizioni master denominate C: e D: . Abbiamo cancellato C: e reinstallato il sistema (Win XP SP2 Professional)

Subito dopo ci siamo resi conto che c'era una cartella con foto ma protetta da crittografia (EFS)

Questo significa che abbiamo una cartella con file + cartelle ma entrambe le chiavi di crittografia sono sparite.

Ho provato a:

  • Trova almeno una delle chiavi tramite l'utilità per recuperare i file cancellati
  • Collegamento dell'HDD al controller di dominio e acquisizione dei privilegi

ma nessuno dei due ha funzionato.

Poi ho trovato due strumenti sw per recuperare file crittografati EFS (Elcomsoft AEFSDR e Passware EFS), ma penso che questi strumenti possano funzionare solo a condizione che abbiamo una chiave o che la chiave sia presente nel database SAM.

Ho idea che la chiave potrebbe essere probabilmente recuperata se riesco a confrontare versioni crittografate e non crittografate dello stesso file, ma non ho trovato alcun indizio se ciò è realmente possibile.

Quindi la domanda è:

  1. Mi sbaglio su questi strumenti sw?
  2. In caso contrario, esiste un modo per recuperare quei file?
posta Marek Sebera 09.10.2011 - 11:54
fonte

2 risposte

3

Se il computer era connesso a un dominio Windows e i file erano crittografati da un utente del dominio, è possibile utilizzare l'agente di recupero per decrittografare i file (vedere link , link ). Puoi utilizzare efsinfo.exe per determinare questo (vedi link )

In questo caso non dovresti modificare le autorizzazioni sul file, ma solo decifrare i file usando il comando cipher (vedi collegamento ) con l'account dell'agente di recupero (probabilmente sarebbe l'amministratore del dominio ma potrebbe essere configurato in modo diverso nel proprio ambiente).

Se si dispone del file ntuser.dat dell'utente dal proprio profilo, è possibile ripristinarlo per ripristinare la chiave di crittografia. Tuttavia, l'utente deve ancora utilizzare la stessa password di quando è stato eseguito il backup del file.

Spero che questo aiuto.

    
risposta data 10.10.2011 - 23:48
fonte
1

Poiché il filesystem non viene sovrascritto, potresti essere in grado di recuperare alcuni frammenti del filesystem originale.

Se il sistema non è acceso, rimuovere il disco rigido dal sistema e aggiungerlo a un altro sistema come unità secondaria. Se il sistema è acceso, provare a spegnere il sistema in modo da ridurre al minimo le scritture sull'unità. Quindi collegare il disco rigido come unità secondaria su un altro sistema. L'intento qui è quello di preservare il più possibile il filesystem precedente.

Prova il software di recupero file NTFS e vedi quali file sono disponibili. Ad esempio: TestDisk è un programma open source gratuito che è in grado di recuperare file da filesystem NTFS cancellati.

Potrebbe essere possibile ripristinare parte o potenzialmente tutto il registro SAM. E o potresti essere in grado di recuperare parte o tutto il profilo NTUSER.DAT dell'utente.

    
risposta data 11.10.2011 - 22:46
fonte

Leggi altre domande sui tag

iPhone - disconnettendo l'utente quando l'app entra in background Quando è necessaria una pagina intermedia prima di indirizzare un utente fuori dal mio sito web principale? Qual è la migliore implementazione?